Dieser Trojaner ist ein echt nerviges Teil.Also, ich habe DSL und sitze hinter einem WLAN -Router..
Bitdefender findet nichts. Antivir hat ihn 4mal identifiziert und ich habe ihn mal ihn Quarantäne geschickt.
Spybot Search und Destroy, Ashampoo,....habe ihn nicht identifziert.
Komme immer noch problemlos ins Internet, Anivir funktioniert, lässt sic haber nicht updaten, dass auch andere Ursachen haben könnte. Mein Zonealarm Firewall hat sich gestern immer mal wieder abgeschaltet funktioniert jetzt aber wieder. gestern hatte ich noch Nuclear.0. A drauf , jetzt habe ich Nuclear.0.B drauf, ist er jetzt mutiert :-) ??

Scan saved at 14:18:38, on 20.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareGuard.exe
C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareControl.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWare.exe
C:\Programme\Elaborate Bytes\CloneDVD2\CloneDVD2.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaSUpdate.exe
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
c:\programme\softwin\bitdefender8\bdmcon.exe
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_6\BROWSER\BROWSER.EXE
C:\Dokumente und Einstellungen\Simon\Eigene Dateien\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe" //mailurl:mailto:service@docmorris.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001
F2 - REG:system.ini: Shell=Explorer.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\Programme\Yetisports\IEButtonYetiSportsEBayInterface.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [UIUCU] C:\DOKUME~1\Simon\LOKALE~1\Temp\UIUCU.EXE -CLEAN_UP -S
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [msconfig] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [icq lite] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [Update Checker] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [AntiVir] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [Ashampoo AntiSpyWare Guard] C:\Programme\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareGuard.exe
O4 - HKLM\..\RunOnce: [Windows Update] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunOnce: [msconfig] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunOnce: [icq lite] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunOnce: [Update Checker] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunOnce: [AntiVir] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunOnce: [] C:\WINDOWS\scvhost.exe
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Sinus 154 stick WLAN Manager.lnk = C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O11 - Options group: [INTERNATIONAL] International*
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Helft mir bitte, vielen Dank

Ach ja, macht es bitte Anfängerfreundlich

Gruß Uli

ich lasse gerade nochmal Panda Active Scan drüber , er ist zur Hälfte fertig und Antivir meldet auf einmal einen Trojaner W95/Bumblebee.1738. Warum meldet mir ausgerechnet antivir das? Hat das etwas mit dem Panda scanner zu tun . Die Quelle ist nämlich C:\windows\system32\Active Scan\pskavs.dll
Vielen Dank
Uli

Hallo.

Du hast einen aktiven Backdoor im System, welcher deinen Rechner schon gut im Griff hat:

Zitat:

O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [msconfig] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [icq lite] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [Update Checker] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [AntiVir] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\Run: [] C:\WINDOWS\scvhost.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

Wahrscheinlich eine RBOT-Variante -> W32/Rbot-EK

Hier hilft nur noch eine Neuinstallation, alles andere wäre sinnfrei.
Mehr dazu in meiner Signatur -> Neuaufsetzen des Systems

Gruß
Sunny

schade, hatte gehofft das es ohne Neuinstallation geht. Danke trotzdem für eure schnelle Hilfe.
Großes Lob !
Uli

Das Lob hätte ich angenommen, wenn ich dir hätte wirklich helfen können!
Aber leider besteht dafür keine Möglichkeit, außer dir den Rat der Neuinstallation zu geben...

Gruß
Sunny

Habe wohl den gleichen Trojaner erwischt wie dominus58 und muss somit auch neu installieren Meine log war nahezu identisch...
Ich hatte zwar nachdem AntiVir mich zum 3. mal gewarnt und ich zum 3. mal gelöscht hatte, die Systemwiederherstellung deaktiviert (hatte irgendwo mal gelesen das hilft bei den Trojanern die immer wiederkommen), aber hat wohl nichts gebracht...

Vor der Neuinstallation würde ich nur gerne noch Unmengen von mp3s und Videos brennen um sie später wieder drauf zu spielen. Ist das möglich, oder handelt es sich hier um eines von diesen Dingern die sich in allen Ordnern ansiedeln? (Evtl. eine dumme Frage,aber bin in diesen Dingen leider wenig bewandert) Und kann ich die .exe Dateien (also die zum Installieren der Programme, nicht die Programme selbst) aus meinem Programme Ordner bedenkenlos mitbrennen, oder ist die Gefar zu groß dass der Trojaner in einer von ihnen versteckt war?
Letzte Frage, wie gefährlich ist es jetzt noch online zu gehen/bleiben wenn ich das Eingeben von Passwörtern vermeide und nur noch rumsurfe?


Danke schonmal im Vorraus!

Hallo

Zitat:

Vor der Neuinstallation würde ich nur gerne noch Unmengen von mp3s und Videos brennen

sollte eigentlich ohne Probleme möglich sein, nur vor dem zurückspielen aufs saubere System mit einem aktuellen Antivirenprogramm scannen.

Zitat:

Und kann ich die .exe Dateien (also die zum Installieren der Programme, nicht die Programme selbst) aus meinem Programme Ordner bedenkenlos mitbrennen, oder ist die Gefar zu groß dass der Trojaner in einer von ihnen versteckt war?

Bei ausführbaren Dateien würde ich generell die Finger davon lassen, es gibt halt Schädlinge die ihren Schadcode in *.exe oder ausführbaren (bat,scr usw.) Dateien injizieren, sich dranhängen oder anders manipulieren.

Zitat:

Letzte Frage, wie gefährlich ist es jetzt noch online zu gehen/bleiben wenn ich das Eingeben von Passwörtern vermeide und nur noch rumsurfe?

Ich würd schon zusehen den Rechner schnell sauber zu bekommen also so innerhalb der nächsten Tage (meine Meinung), auch würd ich nicht mehr Online gehen um nicht noch als Virenschleuder zu fungieren.

MFG

Danke für die schnelle Antwort!

Immerhin muss ich nicht mir nicht alle Dateien neu besorgen, Programme werd ich wohl besser nur die behalten die ich auf sicherem Wege bekommen habe.
Kleiner Tip an alle anderen: Finger weg von Programmen+Code die auf Torrent Seiten als .rar Files angeboten werden. Ich denke auf dem Weg hab ichs mir eingefangen, denn beim Entpacken kam die erste Meldung von AntiVir.

Die Virenschleuder ist ein gutes Argument, werd mich also ab jetzt offline halten... Machts gut...

Oh Mann, wie mich dieser Mist-Trojaner nervt Jetzt habe ich alle Daten gesichert und eine Bootfähige DVD erstellt, wollte formatieren und bekomme ständig die Meldung dies sei nicht möglich und ich sollte alle Programme schließen die auf C: zugreifen und alle Fenster schließen die Inhalte von C: anzeigen. Ich habe absolut keine Ahnung was man dagegen jetzt tun könnte, irgendwie muss ich ja formatieren und neuinstallieren... Hoffe mir kann jemand helfen

Guten Morgen,

wie gehst du vor, wenn du Formatieren willst?
Du Startest die Installation aber schon von der XP CD aus und nicht aus dem laufenden Betrieb von XP?


Gruß Mellosun

Oh, okay ... ich habs tatsächlich aus dem laufenden Betrieb versucht. Nun hab ich aber zusätzlich das Problem dass mein DVD Laufwerk nur noch DVDs erkennt und CDs völlig ignoriert. Kann das auch an dem Trojaner liegen oder muss ich mir jetzt etwa ein neues Laufwerk kaufen (z.B. weil Laser kaputt) bevor ich eine Neuinstallation machen kann? Und wenn ich dann soweit wäre, wie müsste ich eigentlich genau vorgehen beim Deinstallieren/Löschen. Sorry, falls die Frage hier irgendwo beantwortet ist, aber ich hab nur eine Anleitung fürs Neuinstallieren gefunden...

Danke nochmal an alle für die Hilfe

Hallo CMontgomeryBurns,

Hier hast noch eine Anleitung -> Windows XP Installation

Gruß cad